Computerworld オンライン米国版
5年前の7月30日にSOX法(Sarbanes-Oxley Act:米国企業改革法)が制定されて以来、企業のIT部門は会計監査人や運営監査人とともに、自社のセキュリティ/プライバシー保護対策のテクニカル・インプリメンテーションが実際に意図したとおりに機能しているかどうかをチェックしなければならなくなった。企業のトップは、この監査プロセスを経ることでSOX法を遵守していることを実証し、エンロン経営陣の悪夢の退陣劇を自らが体験することを免れているのだ。
現在、ほとんどの株式公開企業は、自分たちなりのSOX法コンプライアンスの検証方法を見いだしている。そのため、近い将来、巨大な企業崩壊が起きる可能性はきわめて低いと言える。しかし、だからと言って、混乱した、わけのわからない検証方法が存在しなくなったというわけではないし、会計監査人やコンサルタントが自己の利益を追求するためのプロセスを生み出す理由を見つけられなくなったというわけでもない。
数年前には、米国ボーイングは、コンプライアンス・プロセスを十分に理解しているように見えた。実際、同社がプロセスを改善し、それをどれだけきちんと管理できているかについて、ボーイングのコントローラー、ハリー・マクギー氏は当時次のように話していたものだ。
「(SOX法の)厳しい規制条件に加え、社内における財務管理プロセスを徹底的に見直しテストすることによって、継続的なプロセス改善に向けた種をまき、ボーイングの将来のビジネスのあり方を変革する後押しをしている」
そんな同社がなぜ今になって、SOX法のコンプライアンスに関してマスコミをにぎわすことになったのだろうか。
仮にボーイングが、大半の企業と同様に、1社の監査法人に会計監査とIT監査の両方を依頼していたのであれば、監査結果が異なることはなかっただろう。
だが、ボーイングは「複数の」監査チームとコンサルタントを雇っていた。そして、これらの間で異なる見解の監査結果が出されたため、調査をさらに続けざるをえなくなったのだ。つまり、同社の“まじめさ”が災いして、大抵の企業なら取り繕えたはずの問題がマスコミで騒がれることになってしまったわけである。
SOX法の意義
企業による不正行為の防止あるいは摘発を目的とするSOX法の情報システムに関する条項については、「テクノロジー発展のペースに対応できるよう十分な柔軟性を持たせている」との解釈がなされている。この件に関し、サーチセキュリティ・ドットコムのデニス・ブルーワー氏は次のように説明する。
「SOX法で求められている『会計報告に関する適切な内部統制』というのは何ともあいまいな言い回しだが、あいまいさを残しているのは、それなりの理由があってのことだ。細かい規定をあえて記さないことで、規制当局はテクノロジーの進化に伴ってコンプライアンス条件を増やせるように、“動く標的”を設定しているわけだ」
なるほど聞こえのいい理論だが、こんな話は現実には機能しない。確かに、「不正行為の防止」という観点で見た場合には、SOX法はまずまず成功していると言えるだろう。だが、それを実現するためにSOX法監査企業はいったいどれほどのコンサルティング料金を請求しているだろうか。また、SOX法に基づく監査にどれだけの機能的な乱れが生じているだろうか。
ある年の会計およびITの内部監査プロセスが、翌年、そしてまた次の年の新たなプロセスと統合され、その結果、必要とされる記録管理および分析作業が本来のビジネス業務を上回るようになる――そんなことになったのでは、まさに本末転倒だ。
こうした観点から見れば、SOX法というのは、あまり有能でない者にとっては苦労ばかりを強いられる規則以外の何ものでもなく、一方、うまく立ち回るすべを知っている監査/コンサルティング・ビジネスにとっては、“おいしいことだらけ”の法律のようだ。いま振り返ってみると、ボーイングのマクギー氏が“まいた”「継続的なプロセス改善の種」は、救い難いほど楽観的で甘かったと言えそうだ。